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(54) Systeme de paiement electronique securise et procede de mise en oeuvre 

(57) Systeme de paiement electronique securise et des utilisateurs (U) et le support du mediateur (M), 

procede de mise en oeuvre. v 

Selon Pinvention, le systeme utilise un mediateur et un sous-systeme de paiement utilisant le support du 

comprend : mediateur (M) et le support de Pun des commercants 

(C). 

un sous-systeme de paiement utilisant les supports Application au paiement electronique, notamment 

de petites sommes. 
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Description 

D maine t chniqu 

5 La presente invention a pour objet un systeme de paiement electronique securise et un procede de rnise en oeuvre 

de ce systeme. [.'invention s'insere dans le cadre du paiement en ligne de biens ou de services, dans le contexte des 
reseaux ouverts, ou les biens et services sont offerts par de multiples prestataires appeles par la suite commercants. 
Dans ce contexte, le client, appele utilisateur par la suite, n'a pas necessairement de lien privilegie avec le commercant, 
et le montant de la transaction peut etre de faible, voire de tres faible valeur. 

10 L'objet de I'invention est un systeme generique de paiement electronique, analogue a celui de la monnaie fiduciaire, 

permettant notamment -et a faible cout- le paiement des montants de faible valeur, et dans lequel I'utilisateur garde 
neanmoins le controle de ses depenses. 

Etat de la technique anterieure 

75 

Dans certains systemes de paiement existants, utilisables pour de petites sommes, les depenses de I'utilisateur 
sont imputees, sans engagement signe de ce dernier, sur un compte distant. Cette solution prive I'utilisateur de tout 
moyen de recours en cas d'imputation erronee ou frauduleuse sur son compte. La solution consistant a prevoir I'envoi 
par I'utilisateur d'un engagement sign6 lors de chaque depense, serait inadaptee au paiement de petits montants, pour 
o des raisons de cout. 

Le compte distant peut etre prealimente par I'utilisateur. Si de tels comptes sont constitues chez les commercants, 
la liquidite de I'argent disponible diminue, ce qui est un frein aux echanges dont patissent aussi bien les utilisateurs, 
qui voient leur pouvoir d'achat disperse, que les commercants, qui voient leurs ventes diminuer. Si, en revanche, un 
compte distant prealimente est tenu par un tiers, autre qu'une banque, cela risque de contrevenir a la reglementation 
25 en vigueur. 

Le compte distant peut ne pas etre prealimente, et done donner lieu a une facturation (par exemple une facture 
telephonique). Ce cas particulier d'imputation sur compte distant permet le paiement de petits montants, mais n'offre 
pas de garantie de paiement au commercant. Ce systeme entraTne un delai entre la fourniture de la prestation et le 
paiement ; il necessite en outre la gestion des retards de paiement eventuels et la prise en compte du risque d'insol- 
30 vabilite de I'utilisateur. 

On connait d'autres systemes fondes sur I'utilisation de pieces electroniques simulant la monnaie fiduciaire, qui 
s'affranchissent des defauts mentionnes ci-dessus en permettant le controle par I'utilisateur de ses depenses. Dans 
ces systemes. I'utilisateur conserve ses pieces aupres de lui et ne les distribue qu'a hauteur du montant a payer. 
Cependant, I'utilisation de pieces (electroniques ou non) peut se reveler peu commode a cause du probleme de Tap- 

35 point. Ce probleme est simplifie si le commercant peut rendre la monnaie, mais cette possibility reste difficile a offrir 
dans le cas de la monnaie electronique. 

Une facon simple de resoudre le probleme de I'appoint consiste a utiliser des pieces d'un montant unique -qui 
correspond alors a la "granularite" de la monnaie electronique-, ou plus generalement a utiliser des valeurs faciales 
faibles. Mais on est alors confronts au probleme du cout de cette piece, reparti en cout de fabrication et cout de 

'0 verification de la piece, d'une part, (lies au temps de calcul), de transmission et de conservation de cette meme piece, 
d'autre part, (lies a I'espace qu'elle occupe) rapporte a sa valeur faciale, qui est faible. 

En outre, dans les systemes existants a pieces electroniques, la resolution des contraintes de controle du rejeu 
et du vol par interception, inherents a la notion de piece electronique : entrame un surcout non negligeable. 

Le systeme de paiement dit "Millicent" resout le probleme de I'appoint en permettant au commercant de rendre la 

45 monnaie lors de chaque transaction. Ce systeme est decrit dans I'article de Mark S. MANASSE, intitule : "Design 
Considerations for Lightweight Payment Protocols", publie dans "First USENIX Workshop on Electronic Commerce", 
New York, Juillet 1995. Selon ce systeme, le commercant fabrique lui-meme, a I'aide de clefs secretes connues de lui 
seul, les pieces electroniques qui serviront a le payer. Ces pieces sont vendues ensuite a un courtier. Pour effectuer 
des transactions chez un commercant, I'utilisateur doit se procurer prealablement aupres de ce courtier une piece 

50 produite par le commercant. Ce dernier controle le rejeu et rend la monnaie, en donnant a I'utilisateur une nouvelle 
piece d'un montant diminue de I'achat qu'il vient de faire. Dans un tel systeme, Putilisateur n'a aucun moyen de controle 
de la validite de ces pieces, que ce soit lors de I'achat aupres du courtier, ou lorsqu'on lui rend la monnaie. En outre, 
ce systeme n'est pas adapte a une application ou I'utilisateur ne connait pas par avance Tensemble des commercants 
qu'il va frequenter (cas typique de la navigation sur internet). 

55 On connait encore d'autres systemes fondes sur ce que Ton appelle le cheque electronique. Le cheque electro- 

nique usuel est un engagement signe de I'utilisateur, qui est presente a un tiers pour remboursement. II est inadapte 
au paiement de petits montants en raison de son cout en temps de calcul (production et verification) et en espace 
occupe. En outre, la garantie de paiement au commercant n'est pas absolue (il s'agit en effet d'un postpaiement). 
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Un systeme dit "Pay Word" a ete decrit par R. L. Rl VEST et A. SHAMIR dans "PayWord and MicroMint : Two Simple 
Micropayment Schemes", publie dans Technical Report, MIT LCS. novembre 1995. Ce systeme permet I'utilisation 
d'un meme cheque pour plusieurs paiements aupres d'un meme commergant, diminuant ainsi le cout unitaire des 
transactions. Toutefois, ce systeme ne garantit pas davantage le paiement au commercant, a moins d'etre complete 
5 par un systeme d'autorisation. En outre, ce systeme devient couteux lorsque I'utilisateur est amene a consulter de 
nombreux commergants. 

Un autre systeme connu utilise ce qu'il est convenu d'appeler le "porte-monnaie electronique". Cette solution est 
valable pour ies petits paiements. Le porte-monnaie peut contenir des pieces electroniques ou gerer un compteur. Le 
porte-monnaie a pieces electroniques comporte Ies inconvenients evoques ci-dessus, lies a la notion de piece. Le 
io porte-monnaie electronique a compteur n'est adapte au paiement de petits montants que si le systeme ne conserve 
pas la trace de chaque paiement, mais agrege Ies montants regus cote commercant. Cette perte d'information impose 
I'utilisation de modules de securite cote utilisateur et cote commercant, afin d'empecher la creation de fausse monnaie. 
La securite globale du systeme repose alors sur la securite physique des modules de securite, ce que redoutent Ies 
banques. 

15 

Expose de I'invention 

L'invention a justement pour objet de remedier a ces inconvenients. A cette fin, l'invention propose un systeme 
de paiement qui conserve la propriete essentieile des pieces electroniques, a savoir le controle par I'utilisateur de ses 
20 depenses, tout en evitant de maniere simple Ies deux defauts d'un tel systeme a savoir la possibility du rejeu des 
pieces et de leur interception et vol en ligne. De plus, selon l'invention. Ies pieces sont remplacees par des jetons dont 
le cout unitaire de fabrication et d'utilisation est notablement plus faible. 

Le principe adopte dans le systeme de paiement de l'invention est celui du double paiement : I'utilisateur paie un 
intermediate, appele dans la suite le "mediateur", qui reverse tout ou partie de la somme percue au commergant. Le 
25 systeme possede done naturellement Ies proprietes decoulant de cette structure : 

le commergant peut deleguer la gestion des utilisateurs au mediateur, 

le mediateur peut jouer le role d'interlocuteur unique pour tous, 

il existe un anonymat relatif de I'utilisateur vis-a-vis du commergant. 

30 

De fagon pratique, et contrairement au cas du systeme "Millicent" evoque plus haut, I'utilisateur peut engager une 
serie de sessions de paiements de petits montants avec des commergants differents, sans etre ralenti par I'inertie du 
systeme de paiement. 

En resume, le systeme de paiement selon l'invention permet le controle par I'utilisateur de ses depenses et facilite 
35 grandement le controle du rejeu des jetons de paiement utilises. Leur interception en ligne est egalement sans con- 
sequence sous reserve que I'origine de la commande soit authentifiee. Ces jetons sont de cout unitaire tres faible 
devant celui de la piece electronique, et autorisent done I'utilisation de valeurs faciales faibles, simplifiant par la meme 
le probleme de I'appoint. Le systeme propose par I'invention est une solution rentable pour le paiement de petits 
montants, encore appele "micropaiemenf. 
40 Pour decrire l'invention de maniere plus precise, on utilisera certaines expressions ou termes dont Ies definitions 

sont Ies suivantes : 

Garantie de paiement : 

45 La garantie de paiement est I'information cedee en paiement par le payeur au paye au moment de la transaction. 

Dans le cas d'un systeme de prepaiement, elles sont encore appelees "garanties de pre paiement". Dans le cas d'un 
systeme de postpaiement, elles sont appelees "garanties de postpaiement". 

Element de garantie de paiement : 

50 

Un element de garantie de paiement est une partie d'une garantie de paiement. Ainsi, I'element de garantie de 
paiement peut ne pas constituer une garantie de paiement a lui seul, et en particulier peut ne pas comporter de signa- 
ture. 

Une telle notion permet de modifier le contenu d'une garantie de paiement par I'adjonction d'un element de garantie 
55 de paiement, et done d'agreger plusieurs garanties de paiement en une seule. C'est sur ce principe que fonctionne le 
paiement de petits montants dans la presente invention. 
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Systeme de prepaiement : 

On appelle systeme de prepaiement tout systeme de paiement dans lequel le paiement est garanti par un tiers, 
appele emetteur par la suite, autre que le payeur. Autrement dit, la garantie de prepaiement represente un engagement 
du tiers. 

Par exemple : un systeme de paiement fonde sur ^utilisation de pieces electroniques est un systeme de prepaie- 
ment. Le paiement est garanti par I'emetteur de monnaie. 

Systeme de postpaiement : 

On appelle systeme de postpaiement tout systeme de paiement dans lequel le paiement est garanti par le payeur. 
Autrement dit, la garantie postpaiement represente un engagement du payeur. 
Par exemple : la garantie de postpaiement peut prendre la forme : 

is - d'un engagement du payeur a payer la somme convenue avant une certaine date, a la personne designee sur 
I'engagement, 

d'un ordre du payeur a un tiers de payer la somme convenue : soit sur presentation de ['engagement, soit a la 
personne designee sur I'ordre. 

o Lorsque la presentation de I'engagement n'est pas requise, le paiement effectif peut se faire sur I'initialive du 

payeur, la garantie de paiement n'etant exhibee qu'en cas de conflit. 

Ces definitions ayant ete donnees, I'organisation du systeme de I'invention est alors la suivante. 
Le systeme generique de I'invention fait intervenir une entite intermediate, appelee mediateur. Le mediateur in- 
tervient lors de chaque transaction, en effectuant une substitution de preuve : en echange d'un ou de plusieurs elements 
25 de garantie de paiement obtenus de I'utilisateur. it donne un ou plusieurs elements de garantie de paiement au com- 
mergant. 

Le systeme de I'invention peut etre decompose en deux sous-systemes cooperant pour mener a bien le paiement 

du commergant par I'utilisateur : un premier sous-systeme de paiement agissant de I'utilisateur au mediateur, et un 

second sous-systeme de paiement agissant du mediateur au commergant. 
30 Un tel systeme de paiement peut etre considere comme un systeme porte-monnaie dans lequel le controle du flux 

monetique (egalite du flux d'argent electronique regu des utilisateurs et du flux d'argent electronique envoye aux com- 

mercants) est sous la responsabilite du mediateur, au lieu de reposer sur la securite physique des modules de securite 

des utilisateurs et des commercants. 

Le mediateur sert d'intermediaire lors de la transaction et peut done proteger I'anonymat de I'utilisateur vis-a-vis 
35 du commercant, en ne transmettant pas I'identite de I'utilisateur au commergant. Le mediateur est alors Pinterlocuteur 

unique du commergant. La garantie de paiement obtenue par le commercant repose alors sur la solvability d'une entite 

digne de confiance, et non plus sur celle de I'utilisateur. Cette entite peut etre : 

soit le mediateur, lorsque le sous-systeme de paiement du mediateur au commergant est un systeme de postpaie- 
40 ment, 

soit un tiers de confiance : lorsque le sous-systeme de paiement du mediateur au commergant est un systeme de 
prepaiement. 



45 



Lorsqu'en outre le sous-systeme de paiement de I'utilisateur au mediateur est un systeme de prepaiement : 



- la garantie de paiement obtenue par le mediateur repose sur la solvability d'un tiers de confiance, et non pas sur 
celle de I'utilisateur, 

- I'utilisateur connail a I'avance le destinataire de la garantie de prepaiement -a savoir le mediateur- et peut done 
la faire etablir au nom de ce dernier, pour en eviter le vol par un tiers, 

50 - le controle par le mediateur, du rejeu par I'utilisateur, d'un element de garantie de prepaiement est plus rapide 

et moins couteux car : 



d'une part, Ic controle du rejeu de I'utilisateur peut etre effectue localement par le mediateur, sans en referer 
a Pemetteur. car il ne necessite une recherche que parmi les garantiesde prepaiement qui lui sont destinees, 
et, d'autre part, il ne necessite -et ceci est lie au fait precedent- qu'une recherche restreinte : non pas parmi 
I'ensemble des garanties de prepaiement emises par I'emetteur , mais seulement parmi celles qui sont des- 
tinees au mediateur, ou mieux, si I'element de garantie de prepaiement mentionne egalement I'identifiant de 
I'utilisateur, seulement parmi les garanties de prepaiement destinees au mediateur et emises par ce seul 
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utilisateur ; 

- enfin, le mediateur peut remettre les garanties de prepaiement qu'il a recues des utilisateurs a I'emetteur. et. 
simultanement. remplir ses engagements a payer que constituent les garanties de postpaiement qu'il a donnees 
5 aux commercants, le commercant etant alors libere de toute gestion financiere. 

Les sous-systemes de prepaiement et de postpaiement vont d'abord etre decrits (paragraphes A et B), puis les 
sessions multiples (paragraphe C) et la livraison et le courtage (paragraphe D). 

10 A) LE SOUS-SYSTEME DE PREPAIEMENT 

Un ensemble de solutions possibles pour un sous-systeme de prepaiement entre I'utilisateur et le mediateur va 
d'abord etre decrit. Ces solutions peuvent convenir plus generalement comme systeme de prepaiement dedie au 
paiement a une entite unique. 

15 

A1) Garantie de prepaiement 

Dans les solutions qui vont etre decrites, le mediateur recoit, en paiement, une garantie de prepaiement eclatee 
en deux sortes d'6lements de garantie de prepaiement : la signature de I'emetteur (unique), et les jetons de paiement. 

20 Les jetons de paiement d'une meme garantie de prepaiement sont regroupes en chaines. Chaque chaine Ci est 

re peree par un indice i compris entre 1 et M. Une chaine C x comprend N { jetons. On note ces jetons avec I'indice j 
compris entre 1 et Ni. Le nombre Ni represente la longueur de la chaine d'indice i. Chaque chaine possede un jeton 
de tete tj qui est le jeton de rang N j} soit Wj,Nj. Les jetons sont definis par une relation de recurrence qui permet de 
trouver les jetons de proche en proche par la relation w { j=h(Wj ou h est une fonction a sens unique publique. Pour 

25 |e premier jeton w s -,, on a rph(Wj -,) ou r } represente la racine de la chaine. 

A chaque jeton est associe une valeur faciale notee vf( Wjj), qui peut dependre a la fois de la chaine dans laquelle 
il se trouve (done de I'indice i) et de son rang dans cette chaine (done de I'indice j). La valeur faciale de chaque jeton 
doit etre connue de tous. Elle peut faire I'objet de publications par I'emetteur, et/ou figurer dans la piece. Dans le cas 
le plus simple, tous les jetons ont la meme valeur faciale a I'interieur d'une meme chaine, ou ont tous la meme valeur 

30 faciale. 

Quant a la signature de I'emetteur qui complete la garantie de paiement, elle peut contenir J'identifiant id M du 
mediateur, au paiement duquel la garantie de prepaiement est dediee, si, par exemple, I'emetteur met en concurrence 
plusieurs mediateurs. 

Lorsque I'utilisateur n'est pas anonyme vis-a-vis du mediateur, ta signature de I'emetteur peut egalement contenir 
35 I'identifiant id u de I'utilisateur. Sinoa toute autre information permettant au mediateur de classer ou de retrouver la ou 
les signatures de I'emetteur peut etre inseree dans la signature (numero ordinal attribue aux signatures par I'emetteur, 
pseudonyme de I'utilisateur, ...). 

La signature de I'emetteur doit contenir les racines r t de chaque chaine. Elle doit egalement contenir la longueur 
Ni de la chaine d'indice i, sauf si I'emetteur participe au choix de t 4 de facon telle qu'il soit certain que I'utilisateur ne 
40 peut connaitre I'antecedent de tj par h. Ces chaines de jetons de paiement sont ainsi validees par I'emetteur, avec leur 
date d'expiration d exp ut . Cette date est la date au-dela de laquelle I'utilisateur ne peut plus I'utiliser en paiement. La 
signature de Pemetteur, notee SE, est done une fonction de la forme : 

SE((id M ), , (id^j), ( Ni ), 

Le mediateur dispose d'un delai supplementaire par rapport a la date d'expiration de la chaine pour effectuer le 
depot. Sa dale d'expiration d exp mdd est donnee par : 

d exp.med. = d exp.ut. + A dep6t 

A2) Comparaison avec la piece electronique 

55 La garantie de prepaiement complete est done constitute d'une signature de I'emetteur, et d'une ou de plusieurs 

chaines de jetons de paiement. Contrairement au cas de la piece electronique, la signature de I'emetteur ne suffit pas 
a lui conferer une valeur. Elle ne vaut lors du depot a I'emetteur, qu'accompagnee, pour chaque chaine qu'elle contient, 
du dernier jeton recu du payeur. 
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La garantie de prepaiement decrite donne lieu aux trois operations de base traditionnellement attachees a la notion 
de piece electronique : le retrait, le paiement et le depot. Cependant, ni les jetons de paiement, pris individuellement, 
ni la signature de I'emetteur, n'empruntent en general le circuit oblige de la piece electronique traditionnelle (de I'emet- 
teur vers le payeur lors du retrait, puis du payeur vers le pave brs du paiement, et enfin du pave vers I'emetteur lors 
5 du depot). 

A3) Protection des donnees de l'utilisateur 

Pour assurer une validite des calculs cryptographiques (verification de signature, calcul de signature, authentifi- 
10 cation) qu'il eftectue, l'utilisateur doit proteger I'acces a ses clefs secretes, et s'assurer de I'authenticite et/ou de Pin- 
tegrite du logiciel utilise. II peut, pour cela, utiliser toutes les techniques disponibles de controle d'acces physique et/ 
ou logique. Une solution avec carte a puce peut etre retenue. 

Outre ces donnees, Putilisateur doit egalement proteger I'acces a ses jetons de paiement. L'utilisateur n'a pas 
besoin de conserver I'ensemble des jetons non utilises, car w Lj+1 se deduit de Wj j par Tapplication de la fonction h. 
is Selon la place dont il dispose, et la rapidite de son unite de calcul, il peut choisir un compromis. Par exemple : 

il peut conserver uniquement la tete \ t de chaque chaine (c'est d'ailleurs necessaire), car elle permet de recalculer 
la chaine entiere de proche en proche, par la relation Wj j=h(Wjj +1 ) ; 

il peut precalculer et/ou conserver des jetons intermediates (par exemple 1 sur 10), pour accelerer la phase de 
o paiement ; 

il peut conserver la totalite des jetons, si bien que plus aucun calcul n'est necessaire. 
A4) Interet du sous-systeme de prepaiement 
2S Le sous-systeme de prepaiement qui vient d'etre decrit presente plusieurs avantages : 

a) cout de mise en oeuvre : 

La garantie de prepaiement peut etre utilisee pour plusieurs paiements a une meme entite, une fraction de sa 
30 valeur totale etant cedee lors de chaque paiement. Les paiements effectues a I'aide de la meme garantie de prepaie- 
ment a I'interieur de sa periode de validite ne se font pas necessairement au cours du meme dialogue. Dans le cas 
de {'invention, la garantie de prepaiement est dediee des sa fabrication au paiement a une entite unique, le mediateur. 

Outre la simplicity du systeme de controle du rejeu et I'impossibilite du vol, les couts unitaires de fabrication et de 
verification du jeton d'une part (lies au temps de calcul), de transmission et de conservation de ce meme jeton d'autre 
35 part (lies a I'espace qu'il occupe) sont tres inferieurs a ceux de la piece electronique. 

b) appoint : 

Cet avantage est directement lie au precedent. Comme il a ete explique. la possibility de diminuer la valeur faciale 
*o des pieces -et ici des jetons-, voire de leur donner a toutes la valeur correspondant a la granularite que Ton a definie 
pour le systeme de paiement, est directement Nee a leur cout unitaire de fabrication et d'utilisation. 

c) rejeu : 

45 Comme toute information, le jeton de paiement ne se donne pas reellement mais se partage, et il peut done etre 

f rauduleusement reutilise (ou "rejoue"), aussi bien par l'utilisateur lors du paiement (rejeu utilisateur), que par le me- 
diateur lors du depot chez I'emetteur (rejeu du mediateur). Un systeme de paiement par pieces electroniques doit done 
obligatoirement comporler un dispositif -generalemenl contraignant- de controle du non-rejeu. 

Comme il a ete explique, I'organisation du systeme de paiement selon I'invention permet de s'affranchir dans une 

50 large mesure de cette contrainte. Le controle du rejeu utilisateur est effectue localement (il ne necessite pas de con- 
nexion supplementaire a un systeme centralise), au moyen d'une recherche restreinte et immediatement (pas de ve- 
rification a posteriori, suivie d'une sanction eventuelle) par le mediateur, qui est le seul habilite a recevoir les jetons 
de paiement des utilisateurs. 

55 d) interception en ligne et vol : 

Le retrait de la garantie de prepaiement peut etre effectue de facon telle que I'utilisateur cree lui-meme ses jetons 
de paiement et ne les communique a personne. L'utilisateur est ainsi protege contre le vol de ses jetons de paiement 
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lors du retrait, meme par leur futur destinataire legitime, le mediateur. 

L'interception d'elements de garantie de prepaiement par un tiers lors du paiement n'a pas de consequences 
facheuses sous reserve que I'origine de la commande soit authentifiee, car l'emetteur ne remboursera la garantie de 
prepaiement associee qu'a son destinataire legitime, le mediateur. 

5 

A5) L'operation de retrait 

L'utilisateur acquiert, lors du retrait, la garantie de prepaiement aupres de I'emetteur. Elle est constitute des chai- 
nes de jetons de paiement vj t j et de la signature de I'emetteur SE. En echange : I'emetteur bloque ou preleve la valeur 
10 des jetons de paiement sur un compte de l'utilisateur, appele dans la suite compte porte-monnaie virtuel ou, en abrege, 
compte P.M.V. de l'utilisateur. Ce compte n'est pas necessairement specialise et est alimente par une autre voie, non 
decrite. 

Le retrait s'effectue en deux phases : une phase (a) de constitution des chaines de jetons de paiement, suivie 
d'une phase (b) de validation de ces chaines. Le retrait est decrit ici dans le cas d'une piece comportant une chaine 
15 unique de jetons, de valeurs egales. 

a) Constitution des chaines : 

L'utilisateur et I'emetteur negocient, puis determined la longueur N de la chaine de jetons et la date d'expiration 
20 d de cette chaine. L'utilisateur choisit et garde secrete la valeur t de la tete de la chaine (I'indice i de la chaine est omis 
pour simplifier). Puis, il calcule la valeur r=h N (t), appelee racine de la chaine, en appliquant N fois la fonction h qui est 
une fonction a sens unique pubtique. 

l_ es n jetons de paiement, dans I'ordre ou ils seront depenses, sont les Wj=h N -i(t), avec 1<j<N. On peut noter ici 
que la racine r n'est pas un jeton : le premier jeton w 1 de la chaine verifie h(w 1 )=r. 

25 

b) Validation de la chaine : 

L'utilisateur envoie a I'emetteur la racine r, ainsi que celles des valeurs (date d'expiration et longueur de la chaine) 
d et N qui sont inconnues de ce dernier. L'emetteur doit pouvoir s'assurer de I'origine de cet envoi. Selon la degre de 
30 securite choisi, cette contrainte peut donner lieu a une authentication prealable de l'utilisateur, a une authentification 
de I'origine du message, a une signature de rutilisateur, eventueflement interactive. 

Si I'emetteur s'engage prealablement a n'autoriser un retrait de cet utilisateur qu'en echange d'une signature de 
ce dernier, il peut en outre octroyer le droit a cet utilisateur de contester la validite d'un retrait sur son compte. 

L'emetteur realise une signature contenant au moins les valeurs d, N, r, et facultativement I'identifiant du mediateur 
35 id M , celui de l'utilisateur id U5 preleve ou bloque le montant correspondant a la valeur de la chaine de jetons, et retourne 
cette signature a l'utilisateur, et eventuellement au mediateur. 

Dans une variante avec anonymat, la signature de I'emetteur precedemment decrite peut etre effectuee en aveugle, 
selon le principe de la "signature aveugle" avec ou sans trappe), afin d'assurer I'independance du retrait de cette 
chaine, d'une part, et de I'ensemble des paiements realises a I'aide de cette chaine, d'autre part. Cette independance 
40 est une forme d'intracabitite par le biais de laquelle un certain degre d'anonymat des transactions est preserve. 

Dans une autre variante, l'emetteur participe au choix des tetes tj des chaines de jetons de facon telle qu'il soit 
certain que l'utilisateur ne peut connaitre I'antecedent de tj par h. II n'est alors plus necessaire de faire figurer les 
longueurs Nj des chaines dans la signature. 

On peut appeler "mecanisme de choix conjoint" le mecanisme permettant cette participation de l'emetteur : il peut 
^5 ou non conduire l'emetteur a connaitre les valeurs ^ choisies (si oui, l'utilisateur n'a plus besoin de les lui transmettre). 
En revanche, ce mecanisme ne doit pas reveler ces valeurs a un tiers espionnant la ligne : il doit done egalement 
assurer la fonction de transport de secret. 

A6) L'operation de paiement 

50 

Prealablement a tout paiement, le mediateur doit prendre connaissance de la signature de I'emetteur validant les 
jetons ou chaines de jetons de paiement. Par exemple, cette signature peut etre donnee : 

par l'utilisateur au mediateur au cours du dialogue donnant lieu au premier paiement effectue avec cette garantie 
55 de prepaiement : 

ou directement par Temetteur au mediateur. On peut, dans ce cas, envisager un mode de fonctionnement lege- 
rement degrade, dans lequel l'utilisateur, faisant confiance a la banque, ne recoit pas la signature validant ses 
jetons de paiement. 
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Pour le paiement proprement dit, I'utilisateur, de maniere recurrente : a la suite de la n-ieme requete de paiement 
d'un montant de S n unites monetaires en provenance d'un commercant. donne en paiement au mediateur au moins 
un jeton (et un jeton de chaque chaine au plus) : jusqu'a I'obtention du montant desire. 

A chaque fois qu'il recoit un paiement de I'utilisateur, le mediateur paie le commercant dont il connait I'identite, du 
5 montant recu moins sa commission, a I'aide du sous -systeme de postpaiement. 

L'utilisateur peut eventuellement posseder, au meme moment, plusieurs garanties de prepaiement en cours de 
validite et les utiliser pour un meme prepaiement. 

A7) (.'operation de depot 

10 

Au plus tot, et en tout cas sans qu'il soit besoin d'attendre I'epuisement des chaines de jetons de la garantie de 
prepaiement, le mediateur remet a I'emetteur, pour chaque utilisateur ayant utilise le systeme de paiement depuis le 
dernier depot, le dernier jeton consomme de chaque chaine. 

Contrairement au cas de la piece electron ique classique. la garantie de prepaiement a chaines de jetons demeure 
is done valide en paiement -e'est-a-dire les jetons non utilises de la chaine peuvent etre cedes en paiement- apres que 
le destinataire du paiement, en I'occurrence le mediateur, a remis a I'emetteur tout ou partie des jetons recus. Elle 
cesse d'etre valide lorsque toutes les chaines sont epuisees, ou si elte expire, ou encore, si elle est remboursee. 

A8) L'operation de remboursement 

o 

Le systeme a chaines de jetons peut faire I'objet d'un remboursement exceptionnel a I'utilisateur, soit de sa valeur 
totale, si elle n'a pas ete du tout utilisee, soit du montant des jetons non utilises en paiement. Le remboursement peut 
intervenir sur demande de I'utilisateur, ou etre declenche par un autre evenement (par exemple, I'expiration de la 
chaine, ou le retrait d'une nouvelle chaine), auquel cas il est dit automatique. 
25 Si cette chaine de jetons a ete retiree en aveugle, le remboursement ne peut se faire que sur demande de I'utili- 

sateur, qui doit alors fournir la preuve qu'il est bien Tauteur du retrait de cette chaine. 

On peut noter que le remboursement dont il est question ici est le remboursement exceptionnel a I'utilisateur et 
non le remboursement normal au commercant apres le depot. 

Si un remboursement a I'utilisateur a lieu avant la date d'expiration de la garantie de prepaiement, cette derniere 
30 est dite "revoquee" par I'emetteur. 

Lorsque la demande de remboursement d'un utilisateur est acceptee, I'emetteur fixe une date de revocation 
(d rev ut ) de la garantie de prepaiement consideree et la transmet a I'utilisateur. Cette date de revocation peut etre 
consideree comme une date d'expiration anticipee : en deca de cette date, I'utilisateur peut revenir sur sa decision et 
utiliser sa garantie de prepaiement ; au-dela. elle sera refusee par le mediateur. On peut noter la encore que le me- 
35 diateur dispose d'un delai supplemental pour effectuer le depot : 

d rev.med. > d rev.ut. + A dep6t 

JO L'intervalle de temps entre la demande de remboursement et la revocation tient compte du delai de publication 

de la nouvelle liste des garanties de prepaiement revoquees : 

d rev.ut. >d dde renib. + ^pub' 

45 

Le remboursement effectif sur le compte de I'utilisateur ne doit intervenir qu'au-dela de la date de revocation. 

B) LE SOUS-SYSTEME DE POSTPAIEMENT 

50 Le sous-systeme de postpaiement va maintenant etre decrit. Ce sous-systeme pourrait convenir egalement com- 

me sous-systeme de paiement de I'utilisateur au mediateur. Les solutions decrites pour le sous-systeme de postpaie- 
ment peuvent convenir plus generalement comme systeme de postpaiement dedie au paiement a une entite unique. 

B1) La garantie de postpaiement utilisee : 

55 

Le commercant recoit en paiement, une garantie de postpaiement composee de deux sortes d'elements de ga- 
rantie de postpaiement : la signature du mediateur, et les jetons de preuve. 

Les chaines de jetons de preuve se construisent exactement de la meme fagon que les chaines de jetons de 
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paiement. Elles sont neanmoins de longueurs plus grandes. car elles doivent permettre le paiement de tous les utilt- 
sateurs clients d'un commercant. Par exemple, sur une longue periode, si un mediateur met en relation N y utilisateurs 
et N F commergants, et en supposant que tous les jetons produits sont utilises, et qu'ils ont tous la meme valeur. on a : 

5 L f =( n u /n f> l u 

ou L y et L F sont les longueurs moyennes des chaines de jetons de paiement et de jetons de preuve, respectivement. 
La signature du mediateur doit contenir au minimum i'identifiant du commercant beneficiaire du paiement, ainsi 
10 que les racines des chaines de jetons de preuve. II n'est pas necessaire d'y faire figurer la longueur des chaines. 

B2) Le paiement 

Prealablement a tout paiement utilisant cette garantie de postpaiement, le mediateur envoie au commercant la 
15 signature qu'il a produite. Cet envoi peut etre effectue au cours de la session donnant lieu au premier paiement utilisant 
cette garantie de postpaiement. 

Conformement a ('organisation du systeme, le mediateur, apres reception du paiement de I'utilisateur envoie en 
paiement un ou plusieurs jetons de preuve au commercant. Comme il sera explique, lorsque le mediateur joue le role 
de courtier, le paiement de I'utilisateur peut etre anticipe. Conformement a la definition du systeme de postpaiement, 
20 la garantie de postpaiement donne lieu a un paiement effeclif au commercant, qui peut etre effectue par exemple selon 
les divers modes deja explicites. 

C) LES SESSIONS MULTIPLES 

25 CI) Sessions d'utilisateur multiples : 

Un utilisateur peut souhaiter ouvrir parallelement plusieurs sessions de paiement avec des commercants even- 
tuellement differents, en utilisant un porte-monnaie unique. Pour rendre cela possible, il suffit que le mediateur gere 
I'exclusion mutuelle des acces aux donnees associees a ce porte-monnaie, et en particulier Tacces en lecture/ecriture 
30 au dernier jeton de paiement regu de I'utilisateur, pour chaque chaine de jeton de paiement. Ainsi, les donnees con- 
servees par le mediateur resteront coherentes, et I'utilisateur ne pourra pas rejouer, meme involontairement, les memes 
jetons au cours des sessions differentes. 

C2) Sessions de commercant multiples : 

35 

Lorsqu'un commercant a ouvert plusieurs sessions avec des utilisateurs differents (eventuellement pour un service 
unique multi-utilisateurs), le mediateur peut avoir a gerer les paiements de plusieurs utilisateurs en direction du meme 
commercant. II peut, pour ce faire, engager les actions non mutuellement exclusives suivantes : 

40 - agreger des paiements a ce commercant en un seul paiement, a condition toutefois de preciser la decomposition 
de ce paiement unique et de I'authentifier, 

gerer I'exclusion mutuelle des acces aux donnees associees a ce commercant et, en particulier, I'acces en lecture/ 
ecriture au dernier jeton de preuve octroye a ce commercant, pour chaque chaine de jetons de preuve, 
gerer plusieurs chaines de jetons de preuve, et repartir les utilisateurs sur les differentes chaines, 
45 - gerer plusieurs sous-systemes de postpaiement au meme commercant et repartir les utilisateurs sur les differents 
sous-systemes. 

D) LA LIVRAISON ET COURTAGE 

50 Les operations de livraison et de courtage vont maintenant etre decrites : 

D1) Modes de livraison : 

Dans le systeme de paiement tel qu'il a ete decrit, la livraison du bien peut intervenir a tout moment. En fait, le 
55 systeme est concu de telle facon que le commercant peut se permettre d'attendre de recevoir la garantie de paiement, 
avant de livrer. Ceci suppose cependant que le commercant soit digne de confiance et livre effectivement apres avoir 
regu cette garantie. Cette solution est par exemple applicable pour le paiement de prestations a la duree : I'utilisateur 
paie par tranches de temps, et peut se rendre compte, en temps reel, de la fourniture de la prestation et interrompre 



9 

BNSDCOD- <EP 0865010AI I > 



EP0 865 010 A1 



le paiement le cas echeant. Si Ton prefere que la livraison sort garantie par le mediateur, on peut s'arranger pour que 
la livraison transite par lui. Dans ce cas. il ne cedera la garantie de paiement au commercant qu'une fois le bien recu 
du commercant. 

S D2) Courtage et livraison diff eree : 

Si des facteurs autres que le paiement sont susceptibles de ralentir la livraison (eloignement, affluence, ...), I'uti- 
lisateur peut souhaiter ne pas attendre et etre livre en differe. Le mediateur prend alors en charge la requete de I'uti- 
lisateur apres paiement de ce dernier et la transmet au commercant en differe : la requete et le paiement de I'utilisateur 
10 au mediateur, d'une part, le paiement du mediateur au commercant et la livraison, d'autre part, ne sont plus effectues 
simultanement. 

Breve description des dessins 

is - la figure 1, unique, represente I'organisation generate du systeme de I'invention. 
Expose detaille de modes de realisation 
A) Organisation du systeme de paiement 

o 

Comme illustre sur la figure 1, le systeme comporte quatre acteurs principaux : I'utilisateur (U), le commercant 
(C), le gestionnaire de porte-monnaie virtuel, c'est-a-dire la communaute bancaire (banque) appelee encore emetteur 
(E), et enfin Toperateur, qui joue le role de mediateur (M) dans la transaction. La chronologie des echanges est repre- 
sentee sur la figure 1 . 
2S Les references des echanges ont la signification suivante : 

1 : retrait des jetons de paiement par I'utilisateur U aupres de I'emetteur E, 

2 : paiement (flux de jetons de paiement) de I'utilisateur U au mediateur M, 
2' : paiement (flux de jetons de preuve) du mediateur M au commercant C, 

30 3 : livraison du commercant C a I'utilisateur U, 

4 : depot des jetons accumules (fin de journee) par le mediateur M aupres de I'emetteur E, 

5 : envoi du releve de compte (fin de mois au moins) par le commercant C a I'emetteur E. 

A1) Flux financiers : 

35 

L'utilisateur ne paie pas directement les prestations au commercant, mais a un intermediate, appele "mediateur". 
Le mediateur, quant a lui, s'engage, aussitdt le paiement realise, a reverser au commercant les sommes recues, moins 
sa commission. Sur reception de cet engagement, le commercant livre le produit achete a I'utilisateur. Le paiement de 
I'utilisateur au mediateur prend la forme d'un systeme porte-monnaie virtuel a jetons de paiement, mais la specialisation 
JO de ces jetons au paiement a une entite unique simplifie considerablement leur mise en oeuvre. L'engagement du 
mediateur a reverser au commercant les sommes qui lui sont dues prend la forme de jetons de preuve. Ces jetons ne 
seront utilises comme preuve par le commercant qu'en cas de conflit avec le mediateu r, et ne constituent pas reellement 
un flux financier. 

A2) Flux de jetons : 

Le flux d'informations de paiement (branches 2 et 2', sur la figure 1) passe par le mediateur M qui realise une 
substitution de jetons : pour un jeton de paiement recu de I'utilisateur U, il donne un jeton de preuve au commercant 
C. Les jetons de paiement circulent dans le triangle 1 -2-4 et s'apparentent done a des pieces electroniques classiques 
50 (retrait, paiement, depot). Les jetons de preuve, eux, ne parcourent que la branche 2*. 

A3) Comptes porte-monnaie virtuel (PMV) : 

On ne s'interesse pas ici a Torganisation interne du gestionnaire de porte-monnaie virtuel (I'emetteur). On considere 
55 qu'il gere un compte pour chaque utilisateur (appele compte PMV de I'utilisateur), distinct ou non de son compte 
bancaire, et qui est alimente par un moyen exterieur. Le gestionnaire de porte-monnaie virtuel gere egalement un 
compte pour le mediateur (appele compte PMV du mediateur) et un compte pour chaque commercant (appele compte 
PMV du commercant). 
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Le compte PMVd'un utilisateur sert a renflouer son porte-monnaie virtuel, pendant I'operation de retrait (ou encore 
rechargement du PMV). L'argent contenu dans le porte-monnaie virtuel lui-meme est constitue de reformation detenue 
par I'utilisateur, a savoir. la chaine de jetons de paiement validee par I'emetteur. 



5 A4) Jetons de paiement : 

Les jetons de paiement de I'utilisateur constituent le contenu de son porte-monnaie virtuel (PMV). L'utilisateur 
recharge son porte-monnaie virtuel (autrement dit, valide ses jetons de paiement) lors de I'operation de retrait sur son 
compte PMV (branche 1 , de remetteur vers I'utilisateur). Puis les jetons de paiement sont cedes au mediateur lors de 
10 I'acte de paiement (branche 2, de I'utilisateur vers le mediateur). Enfin, ils sont remis a I'emetteur, lorsde I'operation 
de depot (branche 4, du mediateur vers I'emetteur). 

Ce flux de jetons de paiement s'apparente done a un flux de pieces electroniques. Dependant, le fait que le me- 
diateur soit un point de passage oblige de ces jetons, et qu'ils soient compensables sur un compte unique (le compte 
PMV du mediateur) resout a la fois le probleme du rejeu utilisateur et le probleme du vol des jetons comme explique 
is plus haut. 



A5) Jetons de preuve : 

Le second flux de jetons circule du mediateur vers le commercant et constitue, pour ce dernier, une garantie de 
20 reversemenl par le mediateur. Le commercant, apres avoir emis une requete de paiement en direction de I'utilisateur, 
eventuellement par I'intermediaire du mediateur, s'attend a recevoir de ce dernier les jetons de preuve correspondants 
avant de livrer Pinformation. 

Ils ne sont exhibes par le commercant qu'en cas de litige avec le mediateur lorsque le total des reversements 
effectues par ce dernier ne correspond pas au nombre de jetons regus du mediateur. Les jetons de preuve sont en 
25 realite regroupes en chaines de jetons de preuve. Une chaine de jetons de preuve peut etre consideree comme une 
signature a message variable, qui n'avaleur de signature qu'accompagnee du dernier jeton recu (qui constitue la partie 
variable du message. Dans le cas de Pinvention, il s'agit du montant que le mediateur s'engage a payer au commer- 
cant). 



30 B) Le retrait : 



35 



40 



45 



B1) Constitution et validation de la chame de jetons 

Entre I'emetteur E et I'utilisateur U s'etablissent une negociation et un accord sur: 

le nombre N de jetons de paiement a retirer, 

la date d'expiration de la chaine de jetons soit d exp . 



L'utilisateur calcule les jetons par I'operation : 



W;=h (t) 



L'utilisateur U envoie ensuite a I'emetteur : SyOd^r.^date du jour). 
Puis, I'emetteur : 



50 



bloque un montant de N unites sur le compte de I'utilisateur U, 
ou bien : 



retire ce montant sur le compte de U, 

determine la date d'emission d emj Et la date d'expiration d e/e , 
conserve idy.r.N.dg^.Sy. 



L'emetteur envoie ensuite a I'utilisateur : 
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S E (id u> r 1 N t d^). 

L'utilisateur U retransmettra SE au mediateur M lors du premier paiement effectue avec cette chaine. 

5 

B2) Gestion bancaire des chaines de jetons de paiement 

Le retrait des jetons de paiement est autorise tous les jours. Le fonctionnement pour l'utilisateur est done souple, 
mais cette disposition permet surtout a I'emetteur d'etaler dans le temps la gestion des retraits et des mises en service 
10 de chaines de jetons de paiement associees. 

Le retrait peut donner lieu, par ordre de securite croissante : 



soit a une authentification faible (par mot de passe) de l'utilisateur par I'emetteur, 
soit a une authentification "semi -forte" grace a une chaine de mots de passe a usage unique, 
is - soit a une authentification forte, utilisant un protocole d'authentification (defi/reponse), 

soit a une signature (active), qui permet a I'emetteur de conserver une trace de retrait, et, correlativement, donne 
le droit a l'utilisateur de contester la validite d'un retrait sur son compte. 

La periode de validite de la chaine commence le jour du retrait. La duree de validite doit etre choisie egalement 
■to dans le but d'etaler dans le temps la gestion des mises hors service des chaines de jetons de paiement au bout de la 
periode de validite. Par exemple, la duree peut etre egale a n fois 5, ou 5 est la periode de validite minimum, et n entier 
choisi par l'utilisateur, ou encore ; n=1 pour tous les utilisateurs. 

Pendant la duree de validite d'une chaine, I'emetteur conserve, en permanence, pour chaque utilisateur: 

25 - la racine r de la chaine de jetons de paiement actuellement en service, 

la longueur N de la chaine, e'est-a-dire le nombre total de jetons de la chaine, 
le dernier jeton depense la veille (avant depot) ou le jour meme (apres depot), 
le nombre de jetons deja depenses (i) ou non depenses (N-i). 

30 Au boutde la periode de validite, la chaine devient inutilisable en paiement. L'emetteur met la chaine de l'utilisateur 

hors service, et rembourse a l'utilisateur, sur son compte porte-monnaie virtuel, la valeur des jetons non depenses, 

sans que l'utilisateur ait a se manifester. 

Si l'utilisateur se manifeste avant la fin de la periode de validite de sa chaine de jetons de paiement, en vue de 

retirer de nouveaux jetons, il recoit une nouvelle chaine (plus longue). Sa demande (eventuellement signee) invalide 
35 automatiquement la chaine precedente, de sorte qu'a chaque instant, une chaine et une seule est en service pour un 

utilisateur donne. 



C) Paiement par double flux de jetons 

40 Dans I'exemple qui va suivre, l'utilisateur U paie p jetons au commercant C, avec une nouvelle chaine qu'il vient 

de retirer, puis il se connecte a un autre commercant C et paie p' jetons avec la meme chaine. Les p jetons payes a 
C, ainsi que les p' jetons payes a C, peuvent en realite avoir ete cedes en plusieurs fois. On note i I'indice du jeton 
courant de la chaine de U, et j(resp.j') I'indice du jeton courant octroye par MaC (resp. C). 

Dans une premiere phase d'initialisation (i=0) d'une nouvelle chaine, l'utilisateur U transmet au mediateur M la 

45 signature SE. 

Le mediateur verifie si SEOdy.r.N.d^) est valide. II conserve idy.r.N^^e.SE et initialise i a 0. 

Dans une deuxieme phase, on realise le paiement de p jetons a C. Pour cela U transmet au mediateur idc.,w j+ p. 
Le mediateur calcule hP(w p ) et verifie que le resultat est r. Le mediateur retrouve j de C el transmet au commercant 
idy.w'^p. Le commercant verifie que hP(w'^ p ))=wy Le mediateur fixe i=p et j=j+p et conserve (i,Wj) et j. Le commercant 
50 calcule j=j+p et conserve (j.w'j). 

Dans une troisieme phase, on realise le paiement de p' jetons a C par des operations analogues. L'utilisateur 
transmet au mediateur id c .,w l+p .. Le mediateur verifie que hP'(w j+p .) et verifie que le resultat est Wj. Le mediateur retrouve 
j* de C et transmet au commercant idy, w"j Vp .. Le commercant verifie que hP'(w"j. +p .)=wy Le mediateur fixe i=i ip\ 
j'=j'+p' et conserve (i.Wj) et j*. Le commercant c' calcule j'^j'+p* et conserve (j'.w"]') 
55 On n'a pas mentionne, dans ces operations, I'octroi par MaC (resp. C) d'une signature (de M) sur la racine r' de 

la chaine w' (resp. r" de w"), car on suppose que Ton se trouve en "milieu de chaine",, et que cela a eu done lieu lors 
d'un paiement precedent. 
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D) Depot des jetons de paiement 

En fin de journee, le mediateur M remet a l'emetteur E les jetons cedes par les utilisaleurs U, qui se sont connectes 
le jour meme. En realite, il suffit de remettre le dernier jeton recu de chaque utilisateur, car les jetons precedents s'en 
s deduisent, grace a la structure chainee. II converse la valeur de ce dernier jeton regu, ainsi que la signature S E (id Ut 
N,r), en prevision des paiements ulterieurs de I'utilisateur, dont la chaine de jetons de paiement reste evidemment 
valide. 

On note : 



10 


numero du jour d'aujourd'hui 


n 




indice du dernier jeton consomme par U 


iu< n ) 




dernier jeton consomme par U 


w ju(n) 




nombre de jetons consommes ce jour par U 


Nu(n)=i u (n)-i u (n-1) 


15 


indice du dernier jeton octroye a C par M 


jc(n) 


nombre de jetons octroyes aujourd'hui a C 


N c (n)=j c (n)-j c (n-1) 



Dans la phase de depot des jetons, le mediateur, pour un utilisateur s'etant connecte ce jour n, retrouve Wjy^.Ny 
(n) puis envoie a I'emetteur N^n), w jU(n) . L'emetteur calcule n^^w^^) et verif ie que le resultat donne Wj U(n .., y L'emet- 
20 teur verse la somme de N^n) unites sur le compte PMV de M puis adresse un acquittement au mediateur. 

Dans la phase de transfert de fonds, le mediateur retrouve N c (n), calcule sa commission, notee c(C,n) le mediateur 
vire ensuite Nc(n)-c(C,n) au commergant. L'emetteur preleve Nc(n)-c(C,n) sur le compte de M et verse la somme sur 
le compte de C. 

L'emetteur verse alors sur le compte du mediateur la somme correspondant au total des jetons regus des differents 
25 utilisateurs. Puis, le mediateur envoie a l'emetteur un ordre de transfert de fonds de son compte vers les comptes des 
differents commergants. La somme versee a chaque commercant correspond a la somme payee par les utilisateurs 
qui se sont connectes a ce commergant, moins la commission retenue par le mediateur. 

Contrairement aux chaTnes de jetons de paiement qui ont des periodes de validite "glissantes" (la periode de 
validite commence le jour choisi pour le retrait par I'utilisateur), les chaines de jetons de preuve ont des periodes de 
30 validite fixes (identiques pour tous les commergants, par exemple, un mois du calendrier). 

Le mediateur construit, pour chaque commergant, une chaine de jetons de preuve valable pour une periode fixe, 
et la signe. II envoie la signature au commergant concerne, et lui cedera progressivement les jetons associes a cette 
chaine, au fur et a mesure des paiements effectues par les differents utilisateurs de ce commergant. Chacun de ces 
jetons de preuve represente un engagement du mediateur de verser, en fin de mois au plus tard, la valeur de un jeton 
35 sur le compte du commergant. 

II est souhaitable pour le commergant que le mediateur lui verse chaque soir une somme correspondant a son 
gain du jour. Cependant, la preuve que lui donne le mediateur cumule les gains journaliers du commergant et ne 
concerne done que le total de ses gains sur le mois. Pour satisfaire totalement le commergant, e'est-a-dire lui permettre 
d'engager un contentieux si les versements du mediateur sont tardifs, on peut demander au mediateur de verifier, lors 
40 de toute connexion a un commergant, si son dernier versement a ce commergant remonte a plus de 24 heures, et, si 
e'est le cas, de lui fournir un engagement signe de lui verser son du le soir meme. 

En fin de mois, le commergant regoit un releve bancaire, sur lequel sont indiques les versements effectues par le 
mediateur. II peut comparer le total qui lui a ete verse, a la valeur totale des jetons qu'il a regus du mediateur, et dispose 
d'un delai pour contester si les deux montants different, en exhibant la preuve que constituent les jetons de preuve 
45 regus lorsqu'ils sont associes a la signature de la chaine. 

Si une chaine de jetons de preuve est epuisee, une nouvelle chaine est construite par le mediateur (dont la longueur 
est evaluee en fonction de la duree restante dans le mois en cours, et du chitfre d'affaires mensuel du commergant 
concerne). 

so 

Revendications 

1. Systeme de paiement electronique utilisant des premiers supports detenus par des utilisateurs (U) et des deuxie- 
mes supports detenus par des commergants (C), caracterise par le fait qu'il comprend, en outre, un troisieme 
55 support detenu par un mediateur (M), ce systeme etant constrtue : 

d'un sous-systeme de paiement utilisant les supports des utilisateurs (U) et le support du mediateur (M), 
d'un sous-systeme de paiement utilisant le support du mediateur (M) et le support de I'un des commergants (C), 
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chaque sous-systeme de paiement pouvant etre soit un systeme de prepaiement, soil un systeme de postpaie- 
ment. 

2. Systeme selon la revendication 1 , dans lequel chaque support d'utilisateurdu premier sous-systeme de paiement 
comprend des garanties de paiement comprenant des elements de garantie de paiement et des moyens pour 
transmettre au support du mediateur un ou plusieurs elements de garantie de paiement. 

3. Systeme selon la revendication 2, dans lequel le support de I'utilisateur comprend des garanties de paiement sous 
forme de chaines de jetons de paiement (W^). 

4. Systeme selon la revendication 1, dans lequel chaque support d'utilisateur comprend egalement une signature 
(SE) provenant d'un emetteur et validant les elements de garantie de paiement. 

5. Systeme selon la revendication 3, dans lequel chaque chaine (Ci) de jetons de prepaiement (w 4 j) comprend Ni 
15 jetons, ou Ni est la longueur de la chaine, ces Ni jetons etant reperes par le rang j qu'ils occupent dans la chame, 

chaque jeton de rang j (Wjj) etant lie au jeton de rang suivant (Wj par la relation : 

W M= h < W i. i+ l)' 

o 

ou h est une fonction a sens unique publique, Si (tel que S i =h(w i1 )) etant designe par "la racine" de la chaine et 
le jeton de rang Ni (Wj,Nj) par "la tete" de la chame. 

6. Systeme selon la revendication 4, dans lequel la signature de I'emetteur (SE) contient les racines ri de chaque 
25 chaine. 

7. Systeme selon la revendication 5, dans lequel la signature de I'emetteurcontient en outre un ou plusieurs elements, 
notamment idM.id^Nj.d^p ut . 

30 8. Systeme selon la revendication 5, dans lequel un support d'un utilisateur comprend uniquement la tete (tpWj.Nj) 
de chaque chaine et des moyens de calcul de proche en proche de tous les jetons de la chaine a I'aide de la 
fonction h jusqu'a la racine (Wj A ) obtenue en appliquant N tois la fonction h. 

9. Systeme selon la revendication 5 : dans lequel le support d'un utilisateur comprend la tete (tpWj Nl ) de chaque 
35 chaine et des jetons intermediates entre la tete (tj) et la racine (rj=h(Wj -,). 

10. Systeme selon la revendication 5, dans lequel le support d'un utilisateur contient la totalite des jetons de toutes 
les chaines. 

*o 11. Systeme selon la revendication 5, dans lequel les moyens du support d'un utilisateur aptes a adresser au support 
du mediateur des jetons de paiement sont aptes a adresser un jeton de chaque chaine au plus, la tete (t { ) de 
chaque chaine etant le dernier jeton de la chaine a pouvoir etre adresse. 

12. Systeme selon la revendication 2, dans lequel le support du mediateur est apte a recevoir et a conserver la signa- 
ls ture de I'emetteur (SE) directement de I'emetteur. 

13. Systeme selon la revendication 2, dans lequel le support du mediateur comprend des garanties de postpaiement 
sous forme de chaines de jetons de postpaiement et d'une signature du mediateur. 

50 14. Systeme selon la revendication 13, dans lequel chaque chaine de jetons de postpaiement comprend (Mi) jetons, 
ou (Mi) est la longueur de la chaine, ces (Mi) jetons etant reperes par le rang (j) qu'ils occupent dans la chaine, 
chaque jeton de rang (j) (Wj j) etant lie au jeton de rang suivant (w 4 j +1 ) par la relation : 

55 W i.f h < W i.j + l)' 

ou h est une fonction a sens unique publique, le jeton S|=w io de rang 1 constituant la racine de la chaine. 
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15. Systeme selon ia revendication 14, dans lequel le support du mediateur (M) est apte a adresser au support d'un 
commercant (C) au moins un jeton de postpaiement. 

16. Procede de paiement electronique entre des utilisateurs (U) et des commercants (C) pour la mise en oeuvre du 
s systeme selon la revendication 1 , caracterise par le fait qu'il fait intervenir en outre un mediateur (M), la transaction 

s'effectuant d'abord sous forme de prepaiement entre le support d'un utilisateur (U) et le support du mediateur 
(M), puis sous forme de postpaiement entre le support du mediateur (M) et le support de Tun des commercants (C). 

17. Procede selon la revendication 16, dans lequel le mediateur (M) recoitd'un utilisateur (U) des elements de garantie 
io de prepaiement sous forme a la fois de jetons de prepaiement pris dans des chaines de jetons de paiement (Wjj) 

et d'une signature (SE) validant les jetons et dans lequel le mediateur (M) donne un ou plusieurs elements de 
garantie de paiement a un commercant (C) sous forme de jetons de postpaiement pris dans des chaines de jetons 
de postpaiement. 

is 1 8. Procede selon la revendication 1 7, dans lequel chaque chaine (Ci) de jetons de prepaiement comprend (Ni) jetons, 
ou (Ni) est la longueur de la chaine, ces (Ni) jetons etant reperes par le rang (j) qu'ils occupent dans la chaine, 
chaque jeton de rang (j) (w s j) etant lie au jeton de rang suivant (Wj j+1 ) par la relation : 

20 W Lj= h < W L i+ l)' 

ou h est une fonction a sens unique publique, Sj (tel que Sph(w; a1 )) etant designe par "la racine" de la chaine. 

19. Procede selon la revendication 16, dans lequel, a chaque jeton (w^, on associe une valeur faciale (vf(wy)), qui 
25 peut dependre a la fois du rang (i) de la chaine et de son rang (j) dans la chaine. 

20. Procede selon la revendication 19, dans lequel on associe la meme valeur faciale a tous les jetons a Tinterieur 
d'une meme chaine. 

30 21. Procede selon la revendication 19, dans lequel on associe la meme valeur faciale a tous les jetons quels que 
soient la chaine et leur rang dans la chaine. 

22. Procede selon la revendication 17, dans lequel la signature (SE) de I'emetteur (E) contient notamment I'identifiant 
(id M ) du mediateur (M). 

35 

23. Procede selon la revendication 17, dans lequel la signature (SE) emise par I'emetteur (E) contient notamment 
I'identifiant (idj de I'utilisateur (U). 

24. Procede selon la revendication 17, dans lequel la signature (SE) de I'emetteur (E) contient les racines (r;) de 
40 chaque chaine (Ci), la longueur (Ni) de la chaine (Ci), et la date d'expiration de la garantie de prepaiement (d exp ut ). 

25. Procede selon la revendication 16, dans lequel un commercant (C) recoit du mediateur (M) des elements de 
garantie de postpaiement constitues par une signature du mediateur et des jetons de preuve. 

45 26. Procede selon la revendication 25, dans lequel les jetons sont organises en chaines et se deduisent les uns des 
autres par une relation recurrente (Wj j=h(Wj i+1 ) ou h est une fonction a sens unique publique, (Wj 0 ) constituant la 
racine de la chaine. 

27. Procede selon la revendication 25, dans lequel la signature du mediateur contient I'identite du commercant bene- 
50 ficiaire du paiement ainsi que les racines des chaines de jetons de preuve. 

28. Procede selon la revendication 17. dans lequel le mediateur (M) remet a la fin de certaines periodes a I'emetteur 
(E), les jetons cedes par les utilisateurs (U) qui se sont connectes pendant chaque periodc. 

55 29. Procede selon la revendication 26, dans lequel le mediateur (M) remet a I'emetteur (E) le dernier jeton recu de 
chaque utilisateur (U). 
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